ما يمكن أن يعلمك برنامج Sony Hack عن خصوصيتك الصحية

بصرف النظر عن شائعات هوليوود المثيرة وإلغاء إصدار الفيلم ، هناك نتيجة أخرى لاختراق شركة Sony والتي لم يتم الإعلان عنها ولكنها قد تكون أكثر خطورة: إصدار مواد حساسة حول الفواتير الطبية للموظفين والحالات الصحية ، بما في ذلك بعض الأسماء ومعلومات يمكن التعرف عليها

من بين رسائل البريد الإلكتروني والوثائق المسروقة من شركة Sony Pictures Entertainment - والتي تم إصدارها خلال الأسابيع القليلة الماضية بواسطة مجموعة قراصنة تُعرف باسم Guardians of Peace - كان جدول بيانات مأخوذًا من خادم موارد بشرية يوضح بالتفصيل الفواتير الطبية المرتفعة لـ 34 الموظفين وعائلاتهم.

لم يتم ذكر أسماء هؤلاء الموظفين في جدول البيانات. ولكن المعلومات التي يُحتمل تحديدها (مثل تواريخ الميلاد والجنس) رافقت تعداد التكاليف الطبية والحالات التي كان الأشخاص يعالجون منها ، مثل السرطان والفشل الكلوي وتليف الكبد الكحولي والولادات المبكرة.

أخرى تضمنت المستندات المسربة أسماء ، بالإضافة إلى ذكر مطالبات التأمين المرفوضة لأطفال الموظفين أو أزواجهم. أفاد موقع Bloomberg.com أنه في إحدى المذكرات ، قام قسم الموارد البشرية في شركة Sony "بتفصيل كبير حول نوع العلاج الذي يتلقاه الطفل ، وكيف كان يرتاد الطفل ، وموقع المنشأة ، والمحادثات التي أجرتها شركة التأمين مع مقدمي رعاية الطفل."

يمكن أن يكون هذا النوع من الانتهاك مرعبًا - حتى يغير حياة الأشخاص المتأثرين بشكل مباشر. ولكن يجب أن يكون الأمر أيضًا مقلقًا لأي شخص يتساءل عن حقوق الخصوصية الخاصة به ، ومدى المعلومات التي يجب أن تعرفها الشركات عن السجلات الصحية لموظفيها ، ومدى أمان هذه السجلات حقًا.

يحمي "الصحة" الأمريكيين قانون قابلية التأمين والمساءلة لعام 1996 ، المعروف أيضًا باسم HIPAA ، والذي يضع قواعد حول من يمكنه الوصول إلى سجلاتك الطبية والتأمينية - وهذا ينطبق على المعلومات الإلكترونية أو المكتوبة أو الشفوية. بموجب قانون نقل التأمين الصحي والمسؤولية (HIPAA) ، لا يمكن لشركة التأمين الخاصة بك مشاركة المعلومات الطبية التي يمكن تحديدها مع صاحب العمل دون موافقتك.

ولكن غالبًا ما يوافق الموظفون (في بعض الأحيان دون إدراك ذلك) من خلال التوقيع على الأوراق عند تعيينهم ، كما تقول لارا كارترايت سميث ، JD ، MPH ، أستاذ باحث مشارك في كلية معهد ميلكن للصحة العامة بجامعة جورج واشنطن ومدير مشارك لموقع HealthInfoLaw.org. قد يكشفون أيضًا عن معلومات حساسة طواعية - على سبيل المثال ، عند طلب المساعدة من قسم الفوائد في الحصول على الموافقة على المطالبات.

لا تنطبق HIPAA على معظم أصحاب العمل - فقط على الخطط الصحية ومقدمي الرعاية الصحية - لذلك بمجرد أن يكون لدى صاحب العمل معلومات صحية حساسة ، لا يلزم حمايتها بنفس الطريقة. بشكل عام ، حقوق الخصوصية غير محمية في حالة وقوع جريمة ، كما تقول كارترايت سميث - بافتراض أن ضحية تلك الجريمة (سوني ، في هذه الحالة) فعلت كل ما في وسعها لمنعها.

"فكر في الأمر كما لو أن شخصًا ما اقتحم عيادة طبيبك وسرق الرسم البياني الخاص بك" ، كما تقول. لم يرتكب طبيبك أي خطأ ، لذلك ربما لن يكون مسؤولاً. ويمكن أن تكون الملفات الرقمية هذه الأيام آمنة تمامًا أو غير آمنة مثل الملفات الورقية. "

لا يبدو إرسال البريد الإلكتروني حول مطالبات الموظفين أو الاحتفاظ بملفات الفواتير الطبية باهظة مشكلة في حد ذاته ، كما تضيف كارترايت سميث ، على افتراض تم استخدام المواد لأسباب تجارية مشروعة وليس لأغراض عدوانية أو تمييزية.

يوافق بام ديكسون ، المدير التنفيذي لمنتدى الخصوصية العالمي غير الربحي ، على أن جدول بيانات التكاليف الطبية المرتفعة `` ربما لا قائمة غير عادية يمكن رؤيتها في قسم الموارد البشرية. لكنها تقول إن شركة Sony ملزمة بالحفاظ على هذه المعلومات محمية ، والحد من المخاطر غير الضرورية. "سأعتبر بالتأكيد أن أفضل الممارسات هي عدم مناقشة الأمور المتعلقة بصحة الموظفين في رسائل البريد الإلكتروني وبطرق غير آمنة."

وقد تتحمل شركة Sony المسؤولية إذا تبين أن الشركة لم تتخذ الخطوات اللازمة لحماية مثل هذه المواد ، كما تقول. يستشهد ديكسون بالحالة الأخيرة لعيادة الصحة العقلية في ألاسكا التي تم اختراقها وفرضت عليها غرامة لاحقًا من قبل الحكومة لفشلها في تحديث برنامج الحماية من الفيروسات.

"أعتقد أن هذه لحظة فاصلة بالنسبة للمعلومات الحساسة ، يقول ديكسون. "إذا لم تكن على اطلاع دائم بأمنك ، إذا كنت لا تقدم حماية متطورة حقًا لهذا النوع من المعلومات الحساسة ، فإنك تتحمل المسؤولية."

ضمن وفقًا لقاعدة الإخطار بخرق الصحة الصادر عن لجنة التجارة الفيدرالية ، يجب على الشركات التي تجمع المعلومات الصحية الشخصية إخطار الموظفين في حالة تعرض هذه المعلومات للخطر أو تسريبها ، كما يقول ديكسون. يوجد في ولاية كاليفورنيا أيضًا قوانينها الخاصة التي تتطلب من أصحاب العمل الحفاظ على أمان السجلات الطبية وإخطار الموظفين في حالة حدوث خرق.

في الواقع ، رفع موظفو Sony السابقون هذا الأسبوع دعويين قضائيتين مختلفتين ضد شركة Sony لفشلها في حماية بياناتهم وعدم إخطارهم بالاختراق في الوقت المناسب. يقولون إن شركة Sony كانت على علم بنقاط ضعف الأمن الرقمي لسنوات وفشلت في اتخاذ الاحتياطات مثل استخدام جدران الحماية وتشفير الملفات وتخزين البيانات على الشبكات المحمية. لم ترد شركة Sony Pictures على الفور طلبات Health للتعليق على الدعوى القضائية.

قد لا تتمكن من الحفاظ على خصوصية جميع معلوماتك الصحية من أصحاب العمل - فلديهم الحق في طلب ملاحظات الطبيب ومبرراتها الإجازة العائلية ، أو المعلومات الطبية التي يمكن أن تؤثر بشكل مباشر على كيفية قيامك بعملك - ولكن يمكنك تقييد ما يمكنهم الوصول إليه.

'اقرأ كل شيء قبل التوقيع عند ملء أوراق التأمين أو أي شيء ذي صلة إلى برنامج العافية في مكان العمل ، كما تقول كارترايت سميث ، وتأكد من فهمك للمكان الذي ستتم فيه مشاركة معلوماتك الصحية.

يقول ديكسون إن اختراق سوني من المحتمل أن يجبر الشركات الأخرى على اتخاذ قرار ننظر إلى الأمن الخاص بهم ونأمل أن يضعوا ضمانات جديدة في مكانها في جميع الصناعات. للتأكد من أن صاحب العمل يهتم ، فقط اسأل.

"بالنسبة لأي شخص يعاني من حالة صحية مزمنة أو لديه عائلة تعاني من حالة مزمنة ، ليس بالأمر السيئ أن تذهب إلى قسم الموارد البشرية وتقول ،" أنا قلق حقًا بشأن ما حدث ؛ ما هي الإجراءات التي لديك للتأكد من عدم حدوثها هنا؟ '' يقول ديكسون. "أعتقد أن معظم أصحاب العمل في هذه المرحلة يضعون أولوية قصوى لمراجعة هذه الإجراءات."

يمكن للموظفين أيضًا حماية أنفسهم من خلال طلب الاحتفاظ بنسختهم الخاصة من سجلهم الطبي الحالي من التأمين الخاص بهم. الشركة وطبيبهم ، كما يقول ديكسون. بهذه الطريقة ، إذا قام شخص ما بسرقة معلوماتك الصحية واستخدمها للحصول على العلاج الطبي الخاص به - وهي جريمة تُعرف باسم سرقة الهوية الطبية - فسيكون لديك نسخة "قبل" للمساعدة في فصل الإدخالات الشرعية عن الإدخالات غير القانونية.

يقول ديكسون إن الاحتفاظ بالمعلومات الصحية الخاصة بعيدًا عن وسائل التواصل الاجتماعي يمكن أن يحميك أيضًا في حالة اختراق سجلاتك الطبية أو مشاركتها بشكل غير قانوني. "إذا نشرت معلومات في مكان آخر في الماضي ولم تكن مؤمنة ، فقد تفقد الكثير من حقوقك السرية."

أخيرًا ، كما تقول ، لا تقم بتضمين المعلومات الشخصية في مراسلات العمل وتجنب مناقشة القضايا الصحية الخطيرة مع زملاء العمل. "إذا كانت هناك محادثة غير رسمية حول مبرد المياه ، فلا مشكلة - ولكن فقط اجعله خفيفًا ، واحتفظ به بعيدًا عن البريد الإلكتروني.